HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベースJVN iPediaの登録状況[2010年第3四半期(7月~9月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況[2010年第3四半期(7月~9月)]

掲載日 2010年10月20日
独立行政法人 情報処理推進機構

>> ENGLISH

1. 2010年 第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。

1.1 脆弱性対策情報の登録状況

~ 脆弱性対策情報の登録件数が累計9,000件を突破 ~

 2010年第3四半期(2010年7月1日から9月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの12件(公開開始からの累計は110件)、JVNから収集したもの52件(累計839件)、NVDから収集したもの517件(累計8,078件)、合計581件(累計9,027件)でした。脆弱性対策情報の登録件数が、累計9,000件を突破しました。(表1、図1)。

 JVN iPedia日本語版に登録している脆弱性対策情報としては、例えば、クラウドコンピューティング(利用者がインターネット経由でサービス提供を受ける仕組み)で利用されているVMwareやCitrix XenServerなどの仮想化ソフトウェアに関するものが153 件、スマートフォンなどの携帯端末において利用の多いOperaに関するものが90件、登録されています。

 JVN iPedia英語版は、国内製品開発者から収集したもの12件(累計110件)、JVNから収集したもの9件(累計450件)、合計21件(累計560件)でした。

表1.2010年第3四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 12 110
JVN 52 839
NVD 517 8,078
581 9,027
英語版 国内製品開発者 12 110
JVN 9 450
21 560

図1.JVN iPediaの登録件数の四半期別推移

1.2 登録している脆弱性対策情報に関する注目情報 (2010年第3四半期)

~ DLL(*4)を利用している多数のソフトウェア製品に影響する脆弱性対策情報が公開されています ~

 2010年第3四半期に登録した脆弱性対策情報に、「Windows プログラムの DLL 読み込みに脆弱性」(*5)があります。この脆弱性を悪用されると、攻撃者が用意したDLLを読み込まされることにより攻撃コードが実行される危険性があります。この脆弱性はDLLを利用している多数のソフトウェア製品が影響を受けます。製品開発者は、この脆弱性への対策として、プログラムが安全でない場所から DLL を読み込まないようにする必要があります。

 また、「Siemens Simatic WinCC および Simatic PCS 7 の SCADA システムにおける権限を取得される脆弱性」(*6)といった重要インフラなどで利用される監視制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性対策情報が登録されています。製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

1.3 JVN iPediaの利用状況

~ MyJVNを利用した効率的な情報収集が可能 ~

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」のアクセス件数は、100万件/月以上となっています。アクセス件数を分析すると、JVN iPediaの情報を効率的に活用するためのユーザインターフェイスであるMyJVN(*7)を経由したアクセスが多く、アクセス件数の約7割を占めています。MyJVNを利用することで、JVN iPediaの脆弱性対策情報を効率的に収集する、あるいはパソコンにインストールされているソフトウェア製品が最新のバージョンであるかを確認することが可能になります。システム管理者や利用者は脆弱性対策の促進にご活用ください。

参考)MyJVNの主な機能一覧
・MyJVN 脆弱性対策情報収集ツール
・MyJVN バージョンチェッカ
・MyJVN セキュリティ設定チェッカ
・MyJVN API(*8)

2. 2010年 第3四半期 脆弱性対策情報データベース JVN iPediaの登録状況(詳細)

2.1 バッファエラーなど、広く知れ渡っている脆弱性の対策情報が数多く公開されています

 共通脆弱性タイプ一覧CWE(*9)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。 CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)の識別や分析、国内外での比較などが可能になります。図2のグラフは、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数を示したものです。

 件数が多い脆弱性は、CWE-119(バッファエラー)が95件、CWE-264(認可・権限・アクセス制御の問題)が60件、CWE-20(不適切な入力確認)が50件、CWE-94(コード・インジェクション)が50件、CWE-399(リソース管理の問題)が46件、CWE-189(数値処理の問題)が34件、などとなっています。

 これらは広く認知されている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方(*10)」、「安全なSQLの呼び出し方(*11)」、「セキュア・プログラミング講座(*12)」などを参考に、ソフトウェア製品の企画・設計段階からセキュリティ実装を考慮する必要があります。

図2.2010年第3四半期に登録した脆弱性の種類別件数

2.2 深刻度の高い脆弱性の対策情報が数多く公開されています

 JVN iPediaでは、共通脆弱性評価システムCVSS(*13)により、それぞれの脆弱性の深刻度(*14)を公開しています。

 図3のグラフはJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度別の件数の公開年別推移を示したものです。2004年以降は増加傾向となっており、深刻度の高い脆弱性の件数が大きな割合を占めています。

 2010年9月30日まででは、レベルIII(危険、CVSS基本値=7.0~10.0)が46%、レベルII(警告、CVSS基本値=4.0~6.9)が45%、レベルI(注意、CVSS基本値=0.0~3.9)が9%となっています。

 深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図3.脆弱性の深刻度別件数の公開年別推移

2.3 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています

 図4のグラフはJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類別件数の公開年別推移を示したものです。Adobe Reader、Adobe Flash Player、Safari、Internet Explorer、Firefoxなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Javaなど、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は重要度を増しています。

 Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少傾向にあります。これは、いままでに発見された脆弱性について、後継製品で対策が施されていることを示しているものと考えられます。

 2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。

 2008年頃からは、重要インフラなどで利用される、監視制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性の対策情報が公開されています。2008年分として6件、2009年分は9件、2010年分は5件、合計20件のSCADAに関する脆弱性対策情報を公開しています。

 最近ではSCADAを攻撃対象とした、Windows シェルの脆弱性(MS10-046)を悪用して感染を拡げるウイルスStuxnetも発見されています。製品利用者は脆弱性対策情報を日々収集し、バージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。

図4.脆弱性対策情報を公表した製品の種類別件数の公開年別推移

2.4 オープンソースソフトウェアの割合

 図5のグラフはJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示したものです。その割合は全体でOSSが34%、OSS以外が66%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは増加傾向でしたが、2004年に減少し、近年は大きな変化なく推移しています。

図5.オープンソースソフトウェア(OSS)とOSS以外の公開年別推移

2.5 ソフトウェア製品の開発者(ベンダー)の内訳

 図6、図7のグラフは、JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダー)に関して、OSSのベンダーの内訳とOSS以外のベンダーの内訳をそれぞれ示したものです。

 OSSは、国内ベンダーが62、海外ベンダー(日本法人有り)が24、海外ベンダー(日本法人無し)が224、合計310ベンダーとなっています。OSS以外は、国内ベンダーが111、海外ベンダー(日本法人有り)が63、海外ベンダー(日本法人無し)が50 、合計224ベンダーとなっています。

 OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。

(左)図6.OSSベンダーの内訳、(右)図7.OSS以外のベンダーの内訳

3. 脆弱性対策情報の活用状況

 表2は2010年第3四半期(7月~9月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順に上位20件まで示しています。DNS実装やSSLなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。Apache HTTP Server、Explzh、Winny、Apache Tomcat、OpenSSL、ActiveGeckoBrowser、一太郎シリーズ、OpenPNEなど、近年公開した情報にも多数のアクセスがありました。

 表3は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。

表2. JVN iPediaの脆弱性対策情報のアクセス数上位20件
[2010年7月~2010年9月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2009-002319 SSL および TLS プロトコルに脆弱性 1439 6.4 2009/12/14
2 JVNDB-2010-001644 Apache HTTP Server の mod_proxy_http における重要なレスポンスを取得される脆弱性 1154 4.3 2010/07/08
3 JVNDB-2010-000026 Explzh におけるバッファオーバーフローの脆弱性 920 6.8 2010/06/22
4 JVNDB-2010-000030 Winny におけるバッファオーバーフローの脆弱性 670 7.5 2010/8/20
5 JVNDB-2010-001740 Apache Tomcat における重要な情報を取得される脆弱性 667 6.4 2010/7/29
6 JVNDB-2008-001495 複数の DNS 実装にキャッシュポイズニングの脆弱性 653 6.4 2008/7/23
7 JVNDB-2010-001229 OpenSSL における複数の関数に関する脆弱性 647 10.0 2010/4/9
8 JVNDB-2010-001174 Apache HTTP Server の ap_read_request 関数における重要な情報を取得される脆弱性 636 4.3 2010/3/23
9 JVNDB-2010-000025 ActiveGeckoBrowser における複数の脆弱性 624 6.8 2010/6/14
10 JVNDB-2010-000015 一太郎シリーズにおける任意のコードが実行される脆弱性 610 9.3 2010/4/12
11 JVNDB-2010-000006 OpenPNE におけるアクセス制限回避の脆弱性 592 5.8 2010/3/5
12 JVNDB-2010-000024 一太郎シリーズにおける任意のコードが実行される脆弱性 580 9.3 2010/6/1
13 JVNDB-2010-000011 Internet Explorer における情報漏えいの脆弱性 576 4.3 2010/4/7
14 JVNDB-2010-000020 CapsSuite Small Edition PatchMeister におけるサービス運用妨害 (DoS) の脆弱性 576 7.8 2010/5/17
15 JVNDB-2010-000019 WebSAM DeploymentManager におけるサービス運用妨害 (DoS) の脆弱性 572 7.8 2010/5/17
16 JVNDB-2010-000023 e-Pares におけるセッション固定の脆弱性 568 4.0 2010/6/2
17 JVNDB-2010-000012 MODx における SQL インジェクションの脆弱性 567 7.5 2010/4/8
18 JVNDB-2010-000014 Cisco Router and Security Device Manager におけるクロスサイトスクリプティングの脆弱性 565 4.3 2010/4/8
19 JVNDB-2010-000022 e-Pares におけるクロスサイトリクエストフォージェリの脆弱性 546 2.6 2010/6/2
20 JVNDB-2010-000016 複数のサイボウズ製品におけるアクセス制限に関する脆弱性 545 5.8 2010/4/20
表3. 国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件
[2010年7月~2010年9月]
# ID タイトル アクセス
CVSS
基本値
公開日
1 JVNDB-2008-001313 JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 323 5.0 2008/5/9
2 JVNDB-2010-001204 Accela BizSearch のローカル収集におけるアクセス権限に関する脆弱性 314 5.0 2010/4/2
3 JVNDB-2008-001150 JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 302 3.6 2008/3/14
4 JVNDB-2008-001895 JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性 299 6.5 2008/11/26
5 JVNDB-2010-001545 JP1/ServerConductor/Deployment Manager における不正にシャットダウンまたはリブートを実行する脆弱性 278 7.8 2010/6/22

注1)CVSS基本値の深刻度による色分け

CVSS基本値=0.0~3.9
深刻度=レベルI(注意)
CVSS基本値=4.0~6.9
深刻度=レベルII(警告)
CVSS基本値=7.0~10.0
深刻度=レベルIII(危険)

注2)公開日の年による色分け

2008年以前の公開 2009年の公開 2010年の公開

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)DLL : Dynamic Link Library。プログラムの実行時に読み込まれるソフトウェアコンポーネント。

(*5)http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-001999.html

(*6)http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-001829.html

(*7)JVN iPediaの情報を効率的に活用するためのユーザインターフェイス。
http://jvndb.jvn.jp/apis/myjvn/index.html

(*8)JVN iPedia の情報をWebを通じて利用するためのソフトウェアインタフェース。
http://jvndb.jvn.jp/apis/index.html

(*9)Common Weakness Enumeration。概要は次を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html

(*10)http://www.ipa.go.jp/security/vuln/websecurity.html

(*11)http://www.ipa.go.jp/security/vuln/websecurity.html

(*12)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html

(*13)共通脆弱性評価システムCVSS概説。CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)。
http://www.ipa.go.jp/security/vuln/CVSS.html

(*14)脆弱性の深刻度評価の新バージョンCVSS v2について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。